公告资讯 > CPU 内核漏洞(Meltdown 与 Spectre)安全预警通告

CPU 内核漏洞(Meltdown 与 Spectre)安全预警通告

发布日期:2018-01-05 14:43:42        新闻来源:联通官网

尊敬的沃云用户:

    2018 年 1 月 4 日,Jann Horn 等安全研究者披露了"Meltdown"(CVE-2017-5754)和"Spectre"(CVE-2017-5753 & CVE-2017-5715)两组 CPU 特性     漏洞。

    据悉,漏洞会造成 CPU 运作机制上的信息泄露,导致低权限的攻击者可以通过漏洞来窃取内核内存中保存的敏感信息。

    联通云数据有限公司将持续关注该事件进展,并第一时间更新该事件信息。特此第一时间对上述漏洞的相关情况进行了解和分析,具体通报如下:

    一、漏洞标题:

    Meltdown"(CVE-2017-5754) 和"Spectre"(CVE-2017-5753 & CVE-2017-5715)两组 CPU 特性漏洞。

    二、漏洞描述:

    据悉,漏洞会造成 CPU 运作机制上的信息泄露,导致低权限的攻击者可以通过漏洞来窃取内核内存中保存的敏感信息。

    三、风险等级:

    1) 风险评级为:高危
    2) 预警等级:蓝色预警(一般网络安全事件)

    四、受影响系统及应用版本:

    1) 近 20 年的 Intel, AMD, Qualcomm 厂家和其它 ARM 的处理器受到影响;
    2) 因为此次 CPU 漏洞的特殊性,包括 Linux, Windows, OSX 等在内的操作系统平台参与了修复;
    3) Firefox, Chrome, Edge 等浏览器也发布了相关的安全公告和缓解方案;
    4) 影响许多大牌云计算平台,如 Amazon EC2、Microsoft Azure 以及 Google Compute Engine 等。

    五、修复建议:

    1) 厂商未放出补丁,预警报告中未包含补丁链接,后期会根据厂商的补丁再发送对应的预警通告。
    2) "Meltdown"和"Spectre"漏洞修复流程相对复杂,可能会有部分软件不兼容问题(如杀毒软件等)。
    3) 建议相关企业/用户务必作好相关的修复评估工作。
    4) 具体评估和修复工作,可以参考相关厂商的安全公告。
    5) 需要注意的是,windows自动更新机制不会推送该补丁,如果用户需要应用相关补丁的话请做好充分测试及回退措施。

    六、相关安全公告:

    1)Intel:
        https://newsroom.intel.com/news/intel-responds-to-security-research-findings/
        https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&langua geid=en-fr
    2) Microsoft:
        https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV18000 2
    3) Amazon:
        https://aws.amazon.com/de/security/security-bulletins/AWS-2018-013/
    4) ARM:
        https://developer.arm.com/support/security-update
    5) Google:
        https://googleprojectzero.blogspot.co.at/2018/01/reading-privileged-memory
        https://googleprojectzero.blogspot.co.at/2018/01/reading-privileged-memory-with-side.htmlwith-side.html
        https://www.chromium.org/Home/chromium-security/ssca
    6) MITRE:
        http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-5715
        http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-5753
        http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-5754
    7) Red Hat:
        https://access.redhat.com/security/vulnerabilities/speculativeexecution
    8) Xen:
        http://xenbits.xen.org/xsa/advisory-254.html
    9) Mozilla:
        https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timi ng-attack/
    10) Vmware:
        https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html
    11) AMD:
        https://www.amd.com/en/corporate/speculative-execution

    七、参考文档:

    1)  https://meltdownattack.com/meltdown.pdf
    2)  https://spectreattack.com/spectre.pdf
    3)  http://xenbits.xen.org/xsa/advisory-254.html
    4)  https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr
    5)  https://support.microsoft.com/en-us/help/4073119/windows-client-guidance-for-it-pros-to-protect-against-speculative-exe
    6)  https://www.anquanke.com/post/id/93455
    7)  https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
    8)  https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution-s
    9)  https://support.microsoft.com/en-us/help/4072699/important-information-regarding-the-windows-security-updates-released
    10)https://googleprojectzero.blogspot.jp/2018/01/reading-privileged-memory-with-side.html?m=1&from=timeline




                                                                                                                                                                   联通云数据有限公司信息安全部
                                                                                                                                                                   2018年01月05日